Junos 使用防火墙过滤器的概念而不是访问控制列表 (ACL),但它们本质上是相同的:无状态数据包过滤器。
在 Cisco 世界中,您将 fiter 定义为 ACL,通常将其应用于入站或出站接口,例如,假设我们只想允许来自源 10.1.1.0/24 的流量通过接口出站。
首先,我们将定义 ACL:
代码语言:javascript复制access-list 101 permit ip 10.1.1.0 0.0.0.255 any
access-list 101 deny ip any any
然后我们将它应用到界面上:
代码语言:javascript复制interface GigabitEthernet0
ip access-list 101 out
在 Junos 世界中,您将在防火墙部分下定义过滤器,在下面的示例中,过滤器被命名为“1o1”。然后定义了两个术语,术语'allow-10.1.1.0/24'和术语'reject',第一项允许子网 10.1.1.0/24 中具有源 IP 的所有数据包,第二项拒绝其他所有数据包。
代码语言:javascript复制firewall {
family inet {
filter 101 {
term allow-10.1.1.0/24 {
from {
source-address {
10.1.1.0/24;
}
}
then accept;
}
term reject {
then {
reject;
}
}
}
}
}
然后将过滤器应用于接口,如下所示:
代码语言:javascript复制ge-0/0/0 {
disable;
unit 0 {
disable;
family inet {
filter {
output 101;
}
}
}
}
与 IOS 一样,Junos 在过滤器的末尾有一个明确的拒绝,但我更喜欢将它添加进去以更好地衡量。
